|
fedora上有两个防火墙iptables和firewall.
它们间的关系
iptables用于过滤数据包,属于网络层防火墙. firewall能够允许哪些服务可用,那些端口可用.... 属于更高一层的防火墙。 firewall的底层是使用iptables进行数据过滤,建立在iptables之上。 默认的iptables配置 [wyq@localhost ~]$ sudo iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination firewall启动后,查看iptables的配置 可以看到,firewall修改了iptables中链路 [wyq@localhost sysconfig]$ sudo iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 INPUT_direct all -- 0.0.0.0/0 0.0.0.0/0 INPUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0 INPUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ........... iptables配置生效过程中的问题 在设置iptables后需要重启iptables,会重新加载防火墙模块,而模块的装载将会破坏状态防火墙和确立的连接。 会破坏已经对外提供数据链接的程序。可能需要重启程序。 firewall是动态防火墙,使用了D-BUS方式,修改配置不会破坏已有的数据链接。 所以fedora系统中的设置防火墙,最好使用firewall |